Zákon o kybernetické bezpečnosti

Zákon č. 264/2025 Sb. | Zákon o kybernetické bezpečnosti

Jak se píše na stránkách NÚKIB, cílem tohoto zákona je "nastavení alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích a splňují další vybraná kritéria".

Zákon o kyberbezpečnosti a související vyhlášky připravil NÚKIB, vycházel jak z dosavadního zákona o kybernetické bezpečnosti, tak ze zkušeností a poznatků, které za dobu své existence shromáždil.

Nový zákon se bude na rozdíl od předchozího zákona, který vycházel z původní směrnice NIS a týkal se zhruba čtyř stovek firem týkat výrazně většího počtu organizací, řádově to budou tisíce společností. Podle NÚKIB se zákon vztahuje na poskytovatele regulovaných služeb, kteří působí v regulovaných odvětvích. Což jsou klíčová odvětví jako jsou energetika, zdravotnictví, doprava apd..

Přehled regulovaných odvětví lze nalézt ve vyhlášce o regulovaných službách, která začne platit taky 1. listopadu.

Přehled regulovaných odvětví:

• Veřejná správa.
• Energetika:
  • elektřina,
  • ropa a ropné produkty,
  • zemní plyn,
  • teplárenství,
  • vodík.
• Výrobní průmysl.
• Potravinářský průmysl.
• Chemický průmysl.
• Vodní hospodářství.
• Odpadové hospodářství.
• Doprava:
  • letecká,
  • drážní,
  • vodní,
  • silniční.
• Digitální infrastruktura a služby.
• Finanční trh.
• Zdravotnictví.
• Věda, výzkum a vzdělání.
• Poštovní a kurýrní služby.
• Obranný průmysl.
• Vesmírný průmysl.

Jak to souvisí s webovými stránkami

Zákon přináší řadu povinností pro organizace, které provozují či poskytují služby, včetně digitálních služeb, ve vztahu k webům to znamená např.:

• Provoz webu může být součástí tzv. „regulované služby“ — pokud firma provozuje web, e-shop či digitální platformu v sektoru, který je regulován, musí zhodnotit, zda spadá pod zákon.
• Povinnost ohlásit regulovanou službu a případně se zaregistrovat u Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) — organizace mají 60 dní od účinnosti zákona na první krok.
• Zavedení organizačních a technických opatření: řízení rizik, definice aktiv (digitálních aktiv), dokumentace, incident-reporting, kontinuita provozu.
• Zajištění provozní odolnosti a bezpečnosti – tedy web není „jen“ stránka na internetu, ale část infrastruktury, která musí být zabezpečená, spravovaná, mít zálohy, mít logování a monitorování.

Konkrétně to například znamená:

• Ujistit se, že web je provozován bezpečně (HTTPS, správná správa přístupů, aktualizace, zálohy).
• Mít dokumentaci / audit: co web dělá, jaké má zálohovací postupy, jaká rizika existují.
• Mít proces pro hlášení incidentů: pokud web např. padne útokem nebo ztratí data či je kompromitován.
• Ujistit se, že webu je přiřazena odpovědnost: (vedení, IT, správa), že je „firemně“ začleněn do bezpečnostních procesů, ne jen jako marketingová stránka.

Parametry, které se posuzují:

• Aktiva / digitální infrastruktura – definice, co je aktivem (web, modul, databáze, API). Zákon výslovně mluví o „aktivum v podobě digitálního prostředku“ (§ 2 nového zákona).
• Řízení rizik – posouzení, jaké hrozby webu hrozí (např. útoky, výpadek, ztráta dat) a jaká opatření jsou zavedena.
• Technická opatření – šifrování (včetně přenosu dat), zabezpečené přístupy, správné oprávnění, pravidelné aktualizace, zálohy, oddělení prostředí (vývoj/produkce), logování/monitoring.
• Organizační opatření – určení odpovědnosti, politiky bezpečnosti, školení, postupy pro incidenty, dokumentace.
• Hlášení incidentů – pokud nastane kybernetický bezpečnostní incident, je potřeba mít definovaný postup jak ho identifikovat, zaznamenat, vyhodnotit a hlásit.
• Kontinuita provozu a obnova – web musí být připraven na případ výpadku či incidentu: mít zálohy, plán obnovy, ověřené postupy.
• Auditovatelnost – být schopen doložit, že opatření fungují, mít logy, dokumentaci, revize.
• Správa oprav a konfigurací – pokud web používá CMS, moduly, pluginy, je potřeba mít pravidelně aktualizace a zabezpečit konfigurace.

Co z toho plyne pro weby na Drupalu

Drupal má silnou komunitu a efektivní bezpečnostní procesy, doporučuje se sledovat bezpečnostní aktualizace. Důležité je dbát na bezpečnost custom modulů protože ty bývají častým zdrojem zranitelností. 

Proces aktualizací: důraz na to, aby jádro i moduly byly aktuální – i jednoduché zpoždění může znamenat riziko.

Drupal umožňuje detailní nastavení rolí což je výhoda nutná pro splnění požadavku řízení přístupu. Důležité je z tohoto pohledu i šifrování a bezpečná komunikace: Drupal podporuje HTTPS, modul pro šifrování polí, bezpečné cookies atd..

Logování/monitoring: Drupal nabízí systém „watchdog“/logování událostí, který lze rozšířit a napojit na bezpečnostní řešení.

Z toho plynou tyto doporučení pro Drupal weby:

• Nastavení permanentního HTTPS / vynucení SSL.
• Všechny moduly a jádro musí být v podporované verzi a musí být průběžně aktualizovány.
• Je potřeba prověřit všechny moduly i custom (bezepčnostní audit).
• Je nutné využít robustního systému rolí a oprávnění a minimalizovat počet lidí s administrátorským přístupem.
• Zapnout logování a monitorování změn, zabezpečit administrační části (např. omezení IP, dvoufaktorovou autentizací, sílnými hesly).
• Vytvořit zálohovací strategii a otestovat obnovu webu, připravit se na případný bezpečnostní incident.
• Dokumentovat procesy, kdo spravuje web, kdy proběhly aktualizace, jaká jsou zavedená bezpečnostní opatření.
• Citlivá data ukládat šifrovaně a minimalizovat ukládání osobních dat (ve smyslu GDP i bezpečnostních požadavků).